Ameriške vlake lahko brezžično ustavite, popravek napovedan za leto 2027!
Na ameriških vlakih so odkrili ranljivost, ki omogoča praktično komurkoli v zadnjem vagonu aktivirati zavoro. Ranljivost so odkrili že pred trinajstimi leti, a so jo odpravili šele letos. Za povzročitev kaosa zadošča že 500 dolarjev vredna strojna oprema.
Ameriško združenje železničarjev AAR (American Association of Railways) je reagiralo šele letos, ko je CISA (Agencija za kibernetsko in infrastrukturno varnost) objavila obvestilo (advisory). Težava je tičala v modulu EoT (End-of-Train) za brezžično poročanje podatkov o telemetriji iz zadnjega dela vlaka v lokomotivo. Konec 80. let, ko je bil sistem vzpostavljen, je bila računalniška varnost precej manj dosledna, zato komunikacija ni šifrirana. Avtentičnost se je preverjala zgolj s kontrolno številko (checksum).
V praksi to pomeni, da lahko kdorkoli s SDR ustvarja in pošilja lažne paketke. Lažna telemetrija ni kritična, a na drugi strani vlaka je HoT (Head-of-Train), ki lahko nazaj v EoT pošlje ukaz za zaviranje ali kaj podobnega. To pa lahko ogrozi celotno kompozicijo.
AAR napake ni želel priznati, ker da gre zgolj za teoretično nevarnost, ki je v praksi ni mogoče izrabiti. FRA (Federal Railway Authority) ni imela testirnega poligona, AAR pa ranljivosti ni mogla preizkusiti na dejanskih vlakih. Ko po več letih AAR ni ukrepala, CISA ni imela druge možnosti, kot da podrobnosti o ranljivosti javno objavi. AAR se je odzvala in napovedala, da bo ranljivost zakrpana – leta 2027!
